प्लेटफ़ॉर्म
python
घटक
praisonaiagents
में ठीक किया गया
1.5.129
CVE-2026-40150 PraisonAIAgents में एक गंभीर SSRF (सर्वर-साइड रिक्वेस्ट फोरेजरी) भेद्यता है। यह भेद्यता हमलावरों को मनमाने URL को पुनः प्राप्त करने के लिए AI एजेंटों का उपयोग करने की अनुमति देती है, जिससे संवेदनशील डेटा उजागर हो सकता है। यह भेद्यता PraisonAIAgents के संस्करण 1.5.0 से 1.5.128 तक प्रभावित करती है। संस्करण 1.5.128 में इस समस्या का समाधान किया गया है।
यह SSRF भेद्यता PraisonAIAgents उपयोगकर्ताओं के लिए महत्वपूर्ण जोखिम पैदा करती है। एक हमलावर इस भेद्यता का उपयोग आंतरिक सेवाओं, जैसे कि क्लाउड मेटाडेटा एंडपॉइंट्स या डेटाबेस को उजागर करने के लिए कर सकता है। वे स्थानीय फ़ाइलों को भी पुनः प्राप्त कर सकते हैं, जिसमें कॉन्फ़िगरेशन फ़ाइलें या संवेदनशील डेटा शामिल हो सकते हैं। इस भेद्यता का उपयोग नेटवर्क पर आगे बढ़ने और अन्य प्रणालियों को लक्षित करने के लिए भी किया जा सकता है। यह भेद्यता विशेष रूप से चिंताजनक है क्योंकि AI एजेंटों के माध्यम से URL को पुनः प्राप्त करने की क्षमता हमलावर के लिए पहचान से बचना आसान बनाती है।
यह भेद्यता सार्वजनिक रूप से 2026-04-09 को प्रकाशित हुई थी। अभी तक इस भेद्यता के सक्रिय शोषण के कोई विश्वसनीय रिपोर्ट नहीं हैं, लेकिन SSRF भेद्यताएँ अक्सर शोषण के लिए लक्षित होती हैं। इस भेद्यता को CISA KEV सूची में जोड़ा गया है, जो इसके संभावित प्रभाव को दर्शाता है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) मौजूद हो सकते हैं, लेकिन अभी तक व्यापक रूप से ज्ञात नहीं हैं।
Organizations utilizing PraisonAIAgents in environments with sensitive internal resources or cloud metadata endpoints are particularly at risk. Shared hosting environments where multiple users share the same PraisonAIAgents instance could also be vulnerable, as a compromised agent could potentially access data belonging to other users.
• linux / server: Monitor PraisonAIAgents logs for requests containing file:// URLs. Use journalctl -u praisonaiagents to filter for relevant entries.
journalctl -u praisonaiagents | grep 'file://'• python / supply-chain: Inspect the praisonaiagents/tools/webcrawltools.py file for the web_crawl() function and confirm that URL validation is implemented.
def web_crawl(url):
# Ensure proper URL validation is present here
if not is_valid_url(url):
raise ValueError("Invalid URL")
# ... rest of the function• generic web: Monitor web server access logs for requests originating from the PraisonAIAgents process attempting to access local files via file:// URLs.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (9% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-40150 के प्रभाव को कम करने के लिए, PraisonAIAgents को तुरंत संस्करण 1.5.128 में अपडेट करना महत्वपूर्ण है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके बाहरी URL तक एजेंटों की पहुंच को सीमित कर सकते हैं। आप URL सत्यापन और अनुमति सूची को लागू करके भी जोखिम को कम कर सकते हैं। एजेंटों को केवल विश्वसनीय स्रोतों से डेटा तक पहुंचने की अनुमति दें। PraisonAIAgents के नवीनतम संस्करण में अपग्रेड करने के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, वेब क्रॉलिंग फ़ंक्शन का परीक्षण करें।
PraisonAIAgents को संस्करण 1.5.128 या बाद के संस्करण में अपडेट करें ताकि भेद्यता को कम किया जा सके। इस संस्करण में AI एजेंटों द्वारा प्रदान किए गए URLs के उचित सत्यापन शामिल हैं, जो SSRF अनुरोधों के निष्पादन और अनधिकृत लोकल फ़ाइलों के पढ़ने को रोकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-40150 PraisonAIAgents में एक SSRF भेद्यता है जो हमलावरों को आंतरिक सेवाओं और स्थानीय फ़ाइलों को पुनः प्राप्त करने की अनुमति देती है।
यदि आप PraisonAIAgents के संस्करण 1.5.0 से 1.5.128 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
PraisonAIAgents को संस्करण 1.5.128 में अपडेट करें। यदि अपग्रेड संभव नहीं है, तो WAF का उपयोग करें या URL सत्यापन लागू करें।
अभी तक सक्रिय शोषण की कोई विश्वसनीय रिपोर्ट नहीं है, लेकिन भेद्यता शोषण के लिए लक्षित हो सकती है।
कृपया PraisonAIAgents की आधिकारिक वेबसाइट या सुरक्षा सलाहकार अनुभाग देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।